MS03-031: Oprava zabezpečení pro SQL Server 7.0 Service Pack 4

Překlady článku Překlady článku
ID článku: 821279 - Produkty, které se vztahují k tomuto článku.
Tento článek byl archivován. Je nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek znalostní báze Microsoft Knowledge Base obsahuje informace o vydání opravy zabezpečení pro SQL Server 7.0 Service Pack 4 (SP4) a Microsoft Data Engine 1.0 SP4. Tato oprava zabezpečení nahrazuje všechny předchozí opravy zabezpečení, které byly popsány v následujícím článku znalostní báze Microsoft Knowledge Base, včetně opravy zabezpečení v bulletinu zabezpečení MS02-061 pro SQL Server 7.0:
327068 Aktualizace zabezpečení pro SQL Server 7.0 s aktualizací Service Pack 4 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Důležité poznámky:

Tento balíček neobsahuje opravy zabezpečení zahrnuté v součástech MDAC (Microsoft Data Access Components) a ve službě SQL Server Analysis Services.

Tato oprava zabezpečení řeší následující chyby zabezpečení:
  • Napadení pojmenovaného kanálu
    Po spuštění serveru SQL je vytvořen konkrétní pojmenovaný kanál, pomocí kterého server naslouchá příchozím připojením. Pojmenovaný kanál je přesně nazvaný jednosměrný nebo obousměrný kanál určený ke komunikaci mezi kanálovým serverem a jedním nebo více klientskými počítači. SQL Server zkontroluje pojmenovaný kanál a ověří, která připojení se mohou přihlašovat k systému, ve kterém je SQL Server spuštěn, a zadávat dotazy na data uložená na serveru.

    Metoda ověřování pojmenovaného kanálu obsahuje chybu, která může dovolit útočníkovi, pokud vlastní místní účet v systému, ve kterém je SQL Server spuštěn, napadnout tento pojmenovaný kanál (převzít nad ním kontrolu) v okamžiku, kdy se k němu přihlašuje jiný uživatel pomocí ověřeného přihlášení. To by útočníkovi umožnilo získat kontrolu nad pojmenovaným kanálem se stejnou úrovní oprávnění, která přísluší uživateli, který se připojuje. Pokud má uživatel, který se pokouší o vzdálený přístup, vyšší úroveň oprávnění než útočník, může útočník tato oprávnění převzít a pojmenovaný kanál ohrozit.
  • Odmítnutí služby pojmenovaného kanálu
    Pokud neověřený uživatel použije u pojmenovaného kanálu stejný scénář, jaký byl popsán v odstavci Napadení pojmenovaného kanálu v tomto bulletinu, a pokud vlastní místní účet v síti intranet, může odeslat rozsáhlý paket na příslušný pojmenovaný kanál, na kterém SQL Server naslouchá, a způsobit tím, že server přestane odpovídat.

    Tato chyba nedovoluje útočníkovi spustit libovolný kód ani zvýšit úroveň oprávnění. Stav odmítnutí služby však může vynutit restartování serveru, aby došlo k plnému obnovení jeho funkcí.
  • Přetečení vyrovnávací paměti serveru SQL
    Určitá funkce systému Windows obsahuje chybu, která by mohla ověřenému uživateli s přímým přístupem k přihlášení do systému se serverem SQL Server umožnit sestavení speciálně vytvořeného paketu, který po odeslání na naslouchající port místního volání procedur (LPC) v systému může způsobit přetečení vyrovnávací paměti. Pokud by se chybu podařilo zneužít, mohl by uživatel s omezenými oprávněními k systému zvýšit svá oprávnění na úroveň účtu služby SQL Server nebo způsobit spuštění libovolného kódu.

Další informace

Důležité poznámky:

Přečtěte si následující důležité poznámky o instalaci této opravy zabezpečení do počítače se spuštěným serverem SQL Server 7.0 SP4.

Po připojení k počítači se systémem Microsoft Windows NT 4.0 pomocí pojmenovaných kanálů se zobrazí chybová zpráva

Pokud se připojíte k počítači se systémem Windows NT 4.0 a serverem Microsoft SQL Server 7.0 pomocí pojmenovaných kanálů s jiným účtem než je účet správce, může se zobrazit chybová zpráva podobná některé z následujících zpráv:
Zpráva 1
Připojení nelze vytvořit. SQL Server neexistuje.
Zpráva 2
Připojení nelze vytvořit. Přístup byl odepřen.
Informace o získání opravy hotfix, která řeší tuto chybovou zprávu, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
823492 Při připojení k počítači se systémem Windows NT 4.0 a serverem SQL Server 2000 nebo SQL Server 7.0 se zobrazí chybová zpráva Připojení nelze vytvořit (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Požadavky

Tato oprava zabezpečení vyžaduje SQL Server 7.0 s aktualizací SP4.

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
301511 Jak získat nejnovější aktualizaci Service Pack pro SQL Server 7.0 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
U clusterových instalací serveru SQL Server 7.0 je třeba nejprve zrušit clustery serverů SQL Server spuštěním průvodce SQL Server Failover Wizard z primárního uzlu clusteru jednotlivých virtuálních serverů SQL Server.
Aktivní/Aktivní
U instalace Aktivní/Aktivní postupujte takto:
  1. Přesvědčte se, zda uzel počítačů, do kterého byl SQL Server 7.0 původně nainstalován, řídí obě skupiny prostředků serveru SQL Server.
  2. U jednotlivých uzlů clusteru odeberte virtuální SQL Server spuštěním nástroje Failover Setup Wizard.
  3. Po zrušení clusterů serveru SQL Server je třeba spustit spustitelný soubor opravy hotfix u obou uzlů a úspěšně dokončit instalaci dříve, než obnovíte clustery serveru SQL Server.
Aktivní/Pasivní
U instalace Aktivní/Pasivní postupujte takto:
  1. Přesvědčte se, zda uzel počítačů, do kterého byl SQL Server 7.0 původně nainstalován, řídí prostředky serveru SQL Server.
  2. U tohoto stejného uzlu clusteru odeberte virtuální SQL Server spuštěním nástroje Failover Setup Wizard.
  3. Po zrušení clusteru serverů SQL Server je třeba spustit spustitelný soubor opravy hotfix pouze u primárního uzlu a úspěšně dokončit instalaci dříve, než obnovíte clustery serveru SQL Server.

Informace o souborech ke stažení

Ve službě Stažení softwaru je k dispozici ke stažení následující soubor:
Zmenšit tento obrázekZvětšit tento obrázek
Stáhnout
Stáhnout balíček MS03-031 s opravou zabezpečení pro SQL Server 7.0
Datum vydání: 23. července 2003

Další informace o tom, jak stahovat soubory podpory společnosti Microsoft, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online
Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Soubor je uložen na serverech s rozšířeným zabezpečením, které zabraňují provádění jakýchkoli neoprávněných změn souborů.

Informace o instalaci

Tato oprava zabezpečení podporuje následující instalační přepínače:
Zmenšit tuto tabulkuRozšířit tuto tabulku
PřepínačPopis
/sZakáže zobrazení dialogového okna s průběhem procesu Self Extraction (Automatická extrakce). Musí předcházet přepínači /a.
/aPokud spouštíte opravu hotfix pomocí automaticky extrahovaného souboru EXE a chcete zahrnout parametry pro bezobslužnou instalaci, musí být tento parametr zadán před všemi jinými parametry kromě přepínače /s. Tento parametr je povinný pro spuštění instalačního programu v bezobslužném režimu.
/qTento přepínač spustí instalační program v tichém režimu bez zobrazení uživatelského rozhraní.
BLANKSAPWDTento parametr určuje, že heslo sa pro ověřování SQL je prázdné. Jestliže tento parametr zadáte v počítačích s operačním systémem Windows NT nebo Windows 2000, bude výchozí přihlášení Ověřování systému Windows přepsáno a pokusí se o přihlášení pomocí prázdného hesla sa. Správný formát tohoto parametru je BLANKSAPWD=1. Tento parametr je rozpoznám pouze u bezobslužných instalací.
SAPWDNeprázdné heslo sa. Pokud zadáte tento parametr, musí být ve formátu SAPWD=vaše_heslo_sa. Tento parametr přepíše výchozí ověřování systému Windows v počítačích se systémem Windows NT nebo Windows 2000, nebo s parametrem BLANKSAPWD, je-li zadán.
Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
330391 Nástroj pro instalaci opravy hotfix serveru SQL Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Požadavky na restartování

Pokud nástroj pro instalaci opravy hotfix nezobrazí výzvu, není třeba po použití této opravy zabezpečení počítač restartovat.

Informace o odinstalaci

Odinstalace této opravy není podporována, pokud nebyly před instalací opravy zabezpečení zálohovány určité katalogy. Další informace najdete v části Jak odebrat či odinstalovat opravu hotfix v následujícím článku databáze Microsoft Knowledge Base:
330391 Nástroj pro instalaci opravy hotfix serveru SQL Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Informace o nahrazení oprav zabezpečení

Tato oprava zabezpečení nahrazuje všechny předchozí opravy zabezpečení, které byly popsány v následujícím článku znalostní báze Microsoft Knowledge Base, včetně opravy zabezpečení v bulletinu zabezpečení MS02-061 pro SQL Server 7.0:
327068 Aktualizace zabezpečení pro SQL Server 7.0 s aktualizací Service Pack 4 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Informace o souborech

Anglická verze tohoto balíčku má následující nebo vyšší atributy souborů. Data a časy jednotlivých souborů jsou uvedeny ve formátu UTC (Coordinated Universal Time). Při zobrazení informací o souboru jsou data a čas převedeny na místní čas. Rozdíl mezi místním časem a časem UTC naleznete na kartě Časové pásmo na panelu Datum a čas v okně Ovládací panely.
   Datum        Čas    Verze              Velikost  Název souboru
   -----------------------------------------------------------------------
   4.10. 2002  23:59  2000.34.4.0        28 944 bajtů  Dbmssocn.dll     
   6. 9. 2002  23:55  2000.33.6.0        53 520 bajtů  Distrib.exe      
   6. 9. 2002  23:55  2000.33.6.0        98 576 bajtů  Logread.exe      
   5. 5. 2003  18:34                     54 904 bajtů  Opends60.dbg
   5. 5. 2003  18:34  2000.41.2.0       155 920 bajtů  Opends60.dll     
   5. 5. 2003  18:34                    132 096 bajtů  Opends60.pdb
   6. 9. 2002  23:56  2000.33.6.0       250 128 bajtů  Rdistcom.dll     
   6. 9. 2002  23:55  2000.33.6.0        82 192 bajtů  Replmerg.exe     
   6. 9. 2002  23:56  2000.33.6.0        78 096 bajtů  Replres.dll      
   17. 9. 2002  22:52                      7 941 bajtů  Securityhotfix.sql
   6. 9. 2002  23:56  2000.33.6.0       160 016 bajtů  Snapshot.exe     
   30. 5. 2003  04:21                     59 214 bajtů  Sp4_serv_uni.sql
   15. 1. 2003  01:33  2000.37.13.0      344 064 bajtů  Sqlagent.exe     
   6. 9. 2002  23:55  2000.33.6.0        45 056 bajtů  Sqlcmdss.dll     
   16. 5. 2003  00:18  2000.41.14.0    2 629 632 bajtů  Sqldmo.dll       
   16. 5. 2003  13:29  2000.41.14.0       81 920 bajtů  Sqlmap70.dll     
   29. 5. 2003  23:11                  4 370 404 bajtů  Sqlservr.dbg
   30. 5. 2003  02:44  2000.41.28.0    5 062 928 bajtů  Sqlservr.exe     
   29-. 5. 2003  23:11                  3 589 120 bajtů  Sqlservr.pdb
   4. 10. 2002  23:59  2000.34.4.0        45 328 bajtů  Ssmsso70.dll     
   16. 5. 2003  00:18  2000.41.14.0       24 848 bajtů  Ssnmpn70.dll     
   26. 10. 2002  20:30                     28 408 bytes  Ums.dbg
   26. 10. 2002  20:27  2000.33.25.0       57 616 bajtů  Ums.dll          
   26. 10. 2002  20:29                     99 328 bytes  Ums.pdb
   16. května 2003  13:31  2000.41.14.0      151 552 bajtů  Xpweb70.dll

Ověření

Chcete-li zjistit, jakou verzi serveru SQL používáte, postupujte podle informací v následujícím článku znalostní báze Microsoft Knowledge Base:
321185 Určení verze a vydání serveru SQL Server (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Po instalaci této opravy zabezpečení a po spuštění některého z následujících příkazů SELECT by měla být vrácena hodnota 7.00.1094.
SELECT serverproperty('productversion')
SELECT @@Version

Odkazy

Další informace o této opravě zabezpečení naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-031.mspx

Vlastnosti

ID článku: 821279 - Poslední aktualizace: 28. února 2014 - Revize: 7.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft SQL Server 7.0 Service Pack 4
  • Microsoft Data Engine 1.0
  • Microsoft Data Engine 1.0
Klíčová slova: 
kbnosurvey kbarchive atdownload kbfix kbbug kbsqlserv700presp5fix KB821279

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com